image

Gestolen NSA-tools al in 2016 gebruikt voor cyberspionage

dinsdag 7 mei 2019, 10:21 door Redactie, 11 reacties
Laatst bijgewerkt: 07-05-2019, 14:19

Verschillende tools die bij de Amerikaanse geheime dienst NSA werden gestolen en eind 2016 en in 2017 online verschenen zijn al begin 2016 door een andere partij voor cyberspionage toegepast. Het gaat onder andere om een zerodaylek in Windows dat Microsoft in maart van dit jaar patchte.

Dat meldt Symantec in een blogpost. In augustus 2016 en begin 2017 publiceerde een groep die zich Shadow Brokers noemt verschillende tools en exploits van de NSA. Deze exploits werden onder andere voor de verspreiding van de WannaCry-ransomware gebruikt. Symantec heeft aanwijzingen gevonden dat de gelekte NSA-tools al een jaar voor het online verschijnen door een groep aanvallers genaamd APT3 (ook bekend als Buckeye en Gothic Panda) werd gebruikt.

Het gaat hierbij om varianten van de tools die door Shadow Brokers werden vrijgegeven, wat een andere herkomst suggereert. Zo gebruikte APT3 de DoublePulsar-backdoor van de NSA al in maart 2016. Deze backdoor werd pas in april 2017 door Shadow Brokers openbaar gemaakt. Om de backdoor bij slachtoffers te installeren maakten de aanvallers gebruik van twee kwetsbaarheden in Windows. Het eerste beveiligingslek werd in maart 2017 door Microsoft gepatcht. De tweede kwetsbaarheid werd in september 2018 door Symantec aan Microsoft gemeld, waarna er in maart van dit jaar een update voor verscheen.

Hoe APT3 de NSA-tools wist te verkrijgen voordat die door Shadow Brokers openbaar werden gemaakt is nog onbekend, aldus Symantec. De tools werden onder andere tegen doelwitten in België en Luxemburg gebruikt. APT3 zou in 2017 zijn gestopt met het uitvoeren van aanvallen, maar de tools die het gebruikte werden nog tot eind 2018 bij aanvallen waargenomen. Door wie is echter onbekend.

Image

Reacties (11)
07-05-2019, 10:28 door Anoniem
BuckEye / APT3

APT3 is a China-based threat group that researchers have attributed to China's Ministry of State Security. This group is responsible for the campaigns known as Operation Clandestine Fox, Operation Clandestine Wolf, and Operation Double Tap. As of June 2015, the group appears to have shifted from targeting primarily US victims to primarily political organizations in Hong Kong.
07-05-2019, 11:18 door Anoniem
Heeft iemand meer achtergrondinformatie over deze groepen?
07-05-2019, 12:06 door Anoniem
Door Anoniem: Heeft iemand meer achtergrondinformatie over deze groepen?
ja je kan hun echte namen en adressen vinden als je even op google zoekt
07-05-2019, 12:46 door Anoniem
Overal wordt over "tools" gesproken maar het zullen eerder de exploits zelf zijn. Weliswaar mooi dat ze deze exploits ook hadden, maar om te zeggen "NSA tools" is weer puur mediamakerij.

Ook als je iets van logging in je netwerk toepast kun je alle onbekende pakketjes gewoon nakijken en dan kun je inderdaad exploit attempts zien en relatief simpel namaken. Je ziet het bv veel in http webserver logs, waar je soms random exploit attempts in ziet.
07-05-2019, 12:58 door [Account Verwijderd]
Door Anoniem: Heeft iemand meer achtergrondinformatie over deze groepen?
Wellicht dat je in de APT Spreadsheet wat extra achtergrond kan vinden: https://docs.google.com/spreadsheets/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/edit
07-05-2019, 12:59 door Anoniem
Door Anoniem: Heeft iemand meer achtergrondinformatie over deze groepen?

Volgend een verhaal op nu.nl gaat het om de hackersgroep Buckeye, die ook bekend staat als Gothic Panda en APT3. Deze groep wordt door experts gelinkt aan China.

Je verwacht het niet...
07-05-2019, 13:25 door Anoniem
Vraag het beter maar aan het Buckey hackers collectief uit Ohio en het antwoord ligt immers voor de hand:
Chinese staatsacteurs, prima passend binnen de voortgezette 5G uitrol hegemoniestrijd tussen USA en HUAWEI etc.
Goed voor een herstel van Nokia e.d.

Allemaal zo doorzichtig dit verhaal.

Het main news van 12 uur terug: https://www.nytimes.com/2019/05/06/us/politics/china-hacking-cyber.html

Dit heb ik zelf dus maar geblokkeerd: -https://www.facebook.com/buckhacks/

De chinees zou zeggen "Ik hoop oprecht dat u allemaal in zeer interessante tijden komt te leven".

J.O.
07-05-2019, 18:59 door Anoniem
Door Acrimony:
Door Anoniem: Heeft iemand meer achtergrondinformatie over deze groepen?
Wellicht dat je in de APT Spreadsheet wat extra achtergrond kan vinden: https://docs.google.com/spreadsheets/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/edit

Top! Dankjewel!
07-05-2019, 22:01 door Anoniem
Fake news. Het zijn gewoon de VS die met een false flag attack China weer zit te blaimen.
08-05-2019, 01:29 door Anoniem
Niets bijzonders.

Via pictures kwam ik 20 jaren geleden in de Homeland Security website binnen in bestanden die volledige inzage gaven v.w.b. werkroosters, dienstlijsten , email adressen, gezin-samenstelling e.d.

Het kunnen inzien betekent niet dat je er misbruik van moet maken maar het was wel interressant om te ervaren.

Grt: W.T.
08-05-2019, 11:01 door Anoniem
Door Anoniem:
Door Anoniem: Heeft iemand meer achtergrondinformatie over deze groepen?
ja je kan hun echte namen en adressen vinden als je even op google zoekt

Goeden smorgens! Hahahahaha deze is echt wel LEUK :-D dankje!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.